Crossbeam作為整體安全解決方案提供商，也是全球唯一可以提供運營級UTM設備的廠商，于2008年10月23日，在北京舉辦了2008渠道英雄大會。與會期間，Crossbeam公司CMO（首席營銷官）James L.Freeze先生和中國區總經理楊銳先生接受了51CTO記者的專訪，并詳細介紹了Crossbeam在高端安全網關領域的技術理念及在中國地區的發展戰略。

近幾年，越來越多的用戶在信息安全采購中都把UTM（統一威脅管理）產品作為其采購重點，尤其是中小企業，更是把UTM設備作為節約成本，化繁為簡的必購產品。早在2006年3月，IDC在其年度報告中就預測當年UTM市場增長率為24.9%；2007年3月，IDC的年度報告中對UTM實際增長率的統計數據為84.3%。從數據中不難看出，用戶對UTM認可度在不斷提升，這也從另一方面說明了UTM市場快速增長的事實。

獨特的設計架構實現運營級UTM

很多人認為UTM的特點在于整合化，它以較低的成本滿足了中小企業對信息處理安全的大部分需求，甚至有業內人事指出，UTM在中小企業才能發揮它采購維護成本低、功能多、整合性高、易于管理部署的優點。那么對性能和效能要求更高的大中型企業就無福消受UTM了么？

James先生認為事實并非如此，在他看來，市場上所謂“All-in-One”的UTM產品，是在其“單一功能的安全網關”產品上通過“軟件”增加新的安全功能的方式實現的。如，產品原型是防火墻，但為了市場的需求，通過“軟件升級”的方式，增加了額外的安全功能，也有原型是IPS，而通過“軟件升級”增加了防火墻或防病毒功能的。他認為，這樣的產品結構不可避免的存在一些缺陷：“單處理架構”的產品，無“并行處理”的能力。換句話說，當產品打開多個安全功能時，多種安全功能共用相同的系統資源，共享同樣的系統內存，勢必會存在嚴重的資源競爭，最終導致整個產品的性能將急劇下降。

Crossbeam中國區總經理楊銳先生認為，導致這一問題的根本原因在于，無論是其總線還是CPU，傳統單一功能安全設備均是單處理結構。當更多的功能增加進來后，勢必造成系統在處理上的擁塞。這就類似在道路交通中，在原本的一根車道的馬路上，現在增加了多條流量來共享該車道，當一條流量通過時，其他流量就必須等待。這就造成了整體系統性能的嚴重下降。

此外，楊銳先生強調，在這些安全產品中，無論防火墻、IDS/IPS、防病毒、郵件安全等功能，通常均采用自己的安全引擎。而在安全應用領域，通常某個廠家的技術實力只在一個方面突出，而其他的則不是。用他的話講，一個廠家也許在防火墻上技術較有特色，但未必在防病毒、IDS/IPS等方面有顯著優勢，更談不上媲美這些領域的專業廠商。在51CTO記者看來，楊銳先生的分析也不無道理。換句話說，如果對性能及產品設備的安全性沒有較高的需求時， “單應用多功能”的UTM產品是適合的；而當對UTM性能及安全功能有更高的需求時，這樣的產品就不適合了。

據了解，正是考慮到了上述UTM單一處理架構帶來性能下降的問題，Crossbeam 的核心產品：X 系列高端硬件安全網關產品，包括 X45、X40及X80，全部采用了機架交換式模塊化并行處理的結構，從而避免了上述問題的出現；并且，Crossbeam X系列高端安全網關產品的每個模塊均可運行獨立的安全應用系統，包括Check Point的防火墻系統、IBM ISS的IDS/IPS系統、趨勢科技的防病毒系統、Websense的企業員工上網行為控制系統，以及數據庫安全審計系統等，而每一種應用均是該領域內最佳的安全應用。從UTM應用方面來看，Crossbeam X系列高端UTM網關產品獨特的設計架構，剛好滿足對性能和效能要求較高的大中型企業用戶的實際需求。

獨特的技術理念成就運營級UTM

實際上，市場上有許多廠商，如Cisco、Juniper、Nokia、Fortine等，都提供UTM產品，這些產品也能夠同時提供包括防火墻、防病毒或IPS等在內的多種安全功能。那么，Crossbeam的X系列高端硬件安全網關產品和這些UTM到底有哪些不一樣的地方呢？

據James介紹，這些UTM產品大多存在“安全功能的資源競爭”問題。他認為，由于所有的安全模塊均運行在同一系統資源平臺上，并且沒有“安全數據調度”的能力，因此，各種安全功能競爭共享系統資源，一些特定的非常消耗系統資源的安全應用，如防病毒，將消耗掉大量的系統資源。其實，整個UTM設備可以提供的最大吞吐量就是性能最低的安全模塊的性能。他給51CTO記者舉了一個例子，如果UTM產品防病毒的性能是300Mbps，即使其防火墻吞吐量在4Gbps，其整個產品的吞吐量最大也只有300Mbps。而Crossbeam X 系列設備可以提供運營商級別的高性能。如對于防火墻，每塊安全應用處理模塊APM可提供最高8Gbps的吞吐量、200萬的并發連接數以及9萬的每秒新建連接數；而且每增加一塊APM，整個設備的性能以接近線性的方式提高。

此外，很多UTM產品都采用了單處理架構，意思是無論什么樣的數據流，在UTM產品中均“線性的”穿過“所有”打開的安全功能，即使這個數據流不需要這樣的檢查。如，當UTM產品的防HTTP病毒功能打開時，即使當前的數據流是視頻數據，不存在感染HTTP病毒的可能，但這些視頻數據仍然“必須”穿過UTM產品的防HTTP病毒功能模塊。

在James看來，這顯然是沒有必要的。事實上，我們很清楚的知道，網絡中會存在許多不同種類的數據流量，不同的應用，不同的網段，不同的用戶。而每種不同的數據類型、應用、網段、用戶，均有不同的安全需求，甚至同一種數據流進出的方向的不同，就會有不同的安全需求。而Crossbeam認為，用戶訪問Web時，HTTP應用的數據流進出的安全需求就是不同的。從用戶網絡到外部Internet的HTTP數據流需要檢查控制其URL過濾（檢查控制是否訪問了合法的站點）、IPS、防火墻等安全應用；而從Internet回來的HTTP流量則不需要URL過濾，但會需要防病毒的檢查控制（因為Internet是不安全的網絡）。換句話說，Email流量和HTTP的流量顯然需要不同的安全檢查。

由此可見，James的言外之意是必須需要網絡安全系統能夠提供這樣的功能，即可以根據數據流類型、用戶源地址、用戶訪問目的地址、進出方向、時間段等，定義配置不同的安全策略，啟動施加不同的安全檢查控制。而不用對所有的數據流都施加相同的安全檢查。在51CTO記者看來，這顯然是有一定道理的。而Crossbeam公司正是考慮到了用戶上述的實際需求，提供了“多線程并行處理”高端多功能安全網關，并且通過其專利的X-Stream技術實現“數據流的安全調度”。單從技術方面來看，Crossbeam的高端安全網關產品與市場上的UTM產品本質上有根本性的不同，主要體現在以下兩個技術特點上：

◆全硬件化并行處理

據了解，在Crossbeam X系列產品上的各個安全引擎，均運行在獨立的APM模塊上。每個APM模塊均具有自己獨立的中央處理器、內存、總線等，每塊APM上的應用均獨享該APM上的系統資源，完全不會影響到其他安全引擎的運行。這樣，在一臺Crossbeam的X系列設備中，就同時提供了多個CPU、多個內存、多個總線，并且全部全硬件化并行化處理，大大提高了系統的性能、效率及可靠性。

同時，APM 可多塊實現負載分擔，并滿足超高性能的需求。如可配置 3 塊 APM 模塊同時提供 Check Point 防火墻功能，這 3塊 APM 實現自動負載均衡。同樣虛擬防火墻、防病毒、IDS/IPS、內容安全等均可實現多 APM 的負載均衡，而不需要額外購買新的負載均衡設備。

◆數據流的安全調度

除了上述技術特點外，51CTO記者還了解到，通過Crossbeam專利的X-Stream技術，可以根據“實際安全的需求”，在一臺Crossbeam X系列設備內實現調度數據流。意思是，安全管理員可以根據需求來決定某類型數據流需要穿過哪些或哪個安全功能板卡的檢查，也可以控制數據流穿過各個安全功能板卡的順序；數據流可以串行發送（如從防火墻到防病毒，到URL過濾器再到防火墻），也可以并行發送（即同時發給多個安全功能板卡）。進出系統的數據流可以根據實際需求來進行不同的檢查；不同的IP地址或用戶也可以有不同的安全板卡組合順序。這樣，就可以以任意順序組合各種安全板卡。

毫無疑問，這樣的技術特點完全可以滿足一些中、高端企業用戶的實際需求，可以說，這是是專門為綜合安全應用所設計的高端專用硬件產品。在51CTO記者看來，Crossbeam公司高端安全網關產品最大的特點在于可以大幅簡化安全結構，降低復雜性，降低管理的成本，從而使網絡更加穩定。

據楊銳介紹，正是由于Crossbeam公司可以提供的高可擴展性、高可靠性、高性能以及多安全應用的高端UTM解決方案，才獲得了中國企業用戶越來越多的認可。而在James看來，中國用戶數量飛速增長，讓Crossbeam感到出乎意料。的確，像中國移動TD-SCDMA試驗網、廣東移動、上海電信、河北網通、深圳中興通訊、吉林電力、一汽大眾、上海浦東發展銀行、中國證券交易中心這樣的大型企業成為Crossbeam的客戶，確實讓設備商感到興奮。

2009年即將到來，James表示，在中國市場Crossbeam將會持續加大研發、渠道等方面的投入，讓更多的企業用戶了解Crossbeam獨特的技術理念，幫助中國企業用戶解決更加實際的信息安全威脅及問題。